SwiftSlicer

Recentment, Ucraïna ha estat l'objectiu d'un nou atac cibernètic des de Rússia, que va implicar l'ús d'un netejador de dades desconegut anomenat SwiftSlicer, escrit en Golang. Es creu que l'atac va ser gestionat per Sandworm , un grup de pirates informàtics patrocinat per l'estat que mostra llaços amb la Unitat Militar 74455 de la GRU (Direcció Principal d'Intel·ligència de l'Estat Major de les Forces Armades de la Federació Russa). Els investigadors de ciberseguretat van publicar detalls sobre la campanya amenaçadora i l'amenaça SwiftSlicer.

Les capacitats amenaçadores de SwiftSlicer

La intrusió nociva desplegant SwiftSlicer es va detectar el 25 de gener de 2023. Per dur a terme els seus objectius, els ciberdelinqüents van explotar la política de grup Active Directory. Un cop executat SwiftSlicer, el seu codi danyat suprimirà totes les còpies de volum dels fitxers i sobreescriurà recursivament els fitxers que es troben a %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS i altres unitats que no siguin del sistema que es trobin als dispositius violats. Els fitxers de destinació es destrueixen si se sobreescriuen amb seqüències de bytes generades aleatòriament de 4.096 bytes de longitud. Un cop finalitzat aquest procés, els dispositius infectats es reiniciarien.

Els pirates informàtics Sandwork continuen dirigint-se a les organitzacions d'Ucraïna

El col·lectiu adversari rus, Sandworm, s'ha relacionat amb l'ús de variants de programari maliciós de neteja en atacs dissenyats per provocar interrupcions i destruccions a Ucraïna. Aquest grup, també conegut com BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots i Voodoo Bear, està actiu des del 2007 i és responsable d'una sèrie de campanyes cibernètiques sofisticades dirigides a organitzacions d'arreu del món. Alguns exemples de les seves eines personalitzades inclouen BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel i Cyclops Blink .

Només el 2022 han llançat WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige i RansomBoggs contra la infraestructura crítica a Ucraïna. Això coincideix amb la invasió militar russa del país. L'equip de resposta a emergències informàtiques d'Ucraïna (CERT-UA) va vincular recentment Sandworm a un intent d'atac cibernètic a Ukrinform, l'agència de notícies nacional, que va tenir lloc com a molt tard el 7 de desembre de 2022. Es van utilitzar cinc eines diferents de programari maliciós per esborrar dades. aquest atac: CaddyWiper ; ZeroWipe; SDelete; AwfulShred i BidSwipe: orientats a dispositius FreeBSD, Windows i Linux.